Перейти к содержанию

Шифровальщик [decryptioner@airmail.cc].harma


Рекомендуемые сообщения

Владимир Жондарев

Каким-то образом проник шифровальщик. Помогите расшифровать переименованный файлы.
<имя_файла>.<оригинальное_расширение>.id-BC84594A.[decryptioner@airmail.cc].harma

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Расшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

«Порядок оформления запроса о помощи».

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

Здравствуйте,

 

Рассшифровкой помочь не сможем, только вирусы дочистить если вам это необходимо.

 

«Порядок оформления запроса о помощи».

 

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Возможно это поможет. Файл логов и файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni. 

CollectionLog-2019.10.20-23.34.zip

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

Возможно это поможет в рещении моей проблемы.
Прикрепляю:
файл логов, CollectionLog
файл текстового (на каждом диске),
зашифрованный файл,

файл найденный в папке C:\Users<имя_пользователя>\AppData\Roaming по аналогии с Trojan-Ransom.Win32.Rakhni

Если не поможет, может в дальнейшем поможет в выпуске дешифровщика под данный шифровальщик.


Сообщение от модератора SQ
Темы объеденены.

 

CollectionLog-2019.10.20-23.34.zip

FILES ENCRYPTED.txt

Пример зашифрованного файла.rar

C_Users_имя_пользователя_AppData_Roaming.zip

Ссылка на сообщение
Поделиться на другие сайты

Антивирус у нас ваш стоит лицензионный вирусы дочистили.

Тут помогают пользователи, которые не относятся к Лаборатории Касперского. Попробуйте обратиться в оф. техническую поддержку Лаборатории Касперского по следующей инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для очистки мусора, выполните следующее:

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Администратор\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O26 - Debugger: HKLM\..\magnify.exe: [Debugger] = C:\windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\windows\system32\cmd.exe

 

- Скачайте Farbar Recovery Scan Tool FRST_Icon.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

    FRST.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Каким-то образом проник шифровальщик.

Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Ссылка на сообщение
Поделиться на другие сайты
Владимир Жондарев

 

 


Возможно проникли через RDP, уточните пожалуйста он был у вас доступен из интернета?

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Ссылка на сообщение
Поделиться на другие сайты

Да есть доступ работают на нем удаленно бухгалтерия из другого города.

Проверьте события (EventLog) -> Security, если они зачищены, что скорее всего так и есть.
Ссылка на сообщение
Поделиться на другие сайты
Калинкин Максим Сергеевич

Добрый день!

Столкнулся с такой проблемой. Все фото и видео переименованы. Название состоит из цифр и букв.

Гуглил. Вирус шифровальщик. Есть ли вероятность вернуть обратно?

Ссылка на сообщение
Поделиться на другие сайты

@Калинкин Максим Сергеевич, не пишите в чужой теме.

Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Bruce007
      От Bruce007
      Зараженные файлы.rar Здравствуйте! Подцепили вирус шифровальщик, я не очень разобрался как тему оформлять, пожалуйста, подскажите как систему проанализировать с помощью farbar, могу подсьединить жесткие диски к компьютеру с работоспособной системой (два жестких диска заражены)
      Прикладываю архив с тремя файлами - один - записка о том, как связаться и две зашифрованных скриншота
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • cisbbs
      От cisbbs
      Прошу помощи в расшифровке файлов.
      Есть оригинальные файлы и файлы зашифрованные вирусом. В описании вируса присутсвует почта cheese47@cook.li и chesee47@tutanota.com
    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
×
×
  • Создать...